Hur man visar efterlevnad av GDPR artikel 32

Teknisk kommentar

GDPR artikel 32 uppmanar organisationer att ta en riskbaserad strategi för databehandling som tar hänsyn till flera nyckelvariabler:

• En grundlig riskbedömning som tar hänsyn till oavsiktlig eller olaglig förstörelse eller ändring av personuppgifter, tillgång till data och hur data hanteras.
• Undersöker tekniska åtgärder som minskar risker i hela organisationen.
• Implementera tekniker och åtgärder som hanterar eventuella risker som finns mest sannolikt att inträffa.
• Uppförandekoder som håller organisationen och individer inom den ansvariga för sina handlingar när de hanterar data.
• Garanterar till registrerade att alla som interagerar med deras data gör det på ett lämpligt och lagligt sätt.

ISO 27701 klausul 5.2.1 (Förstå organisationen och dess sammanhang) och EU GDPR artikel 32 (3)

Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.

Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.

Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.

Detta inkluderar:

• Granska alla rådande integritetslagar, förordningar eller "rättsliga beslut".
• Med hänsyn till organisationens unika kravuppsättning avseende den typ av produkter och tjänster de säljer, och företagsspecifika styrdokument, policyer och procedurer.
• Eventuella administrativa faktorer, inklusive den dagliga driften av företaget.
• Tredjepartsavtal eller tjänstekontrakt som har potential att påverka PII och integritetsskydd.

ISO 27701 klausul 5.2.3 (Bestämma omfattningen av ledningssystemet för informationssäkerhet) och EU GDPR artikel 32 (2)

ISO rekommenderar en grundlig omfattningsövning, så att organisationer kan ta fram ett PIMS som först uppfyller dess krav på integritetsskydd och för det andra inte kryper in på områden i verksamheten som inte behöver uppmärksamhet.

Organisationer bör upprätta och dokumentera:

1. Eventuella externa eller interna problem, som beskrivs i ISO 27001 4.1.
2. Tredjepartskrav enligt ISO 27001 4.2.
3. Hur organisationen interagerar med både sig själv och externa organ (t.ex. kundkontaktpunkter, IKT-gränssnitt).

Alla scopingövningar som kartlägger en PIMS-implementering bör inkludera en grundlig bedömning av PII-bearbetning och lagringsaktiviteter.

ISO 27701 klausul 5.2.4 (hanteringssystem för informationssäkerhet) och EU GDPR artikel 32 (2)

Organisationer bör sträva efter att implementera, hantera och optimera ett Privacy Information Management System (PIMS), i linje med publicerade ISO-standarder.

ISO 27701 klausul 5.4.1.2 (Riskbedömning av informationssäkerhet) och EU GDPR artikel 32 (1) (b) och 32 (2)

Organisationer bör kartlägga och implementera en process för riskbedömning av integritetsskydd som:

• Innehåller riskacceptanskriterier, i syfte att utföra integritetsskyddsbedömningar.
• Tillhandahåller ett ramverk för jämförbar analys av alla integritetsskyddsbedömningar.
• Fastställer integritetsskyddsrisker (och deras ägare).
• Tänker på farorna och riskerna med förlusten av "konfidentialitet, tillgänglighet och integritet" för PII.
• Analyserar integritetsskyddsrisker tillsammans med tre faktorer:
• Deras potentiella konsekvenser.
• Sannolikheten att de inträffar.
• Deras svårighetsgrad.
• analyserar och prioriterar identifierade risker i enlighet med deras risknivå.

ISO 27701 klausul 5.4.1.3 (Riskbehandling för informationssäkerhet) och EU GDPR artikel (32)(1)(b)

Organisationer bör utarbeta och implementera en "riskbehandlingsprocess" för integritetsskydd/PII som:

• Implementera en "riskbehandlingsplan" för integritetsskydd.
• Identifierar hur en PIMS ska behandla individuella risknivåer, baserat på en uppsättning bedömningsresultat.
• Belyser en serie kontroller som krävs för att implementera behandling av integritetsskyddsrisker.
• Korsreferenser alla kontroller som identifierats med den omfattande listan som tillhandahålls av ISO i Bilaga A till ISO 27001.
• Dokumentera och motivera användningen av eventuella kontroller som används i en formell "Statement of Applicability".
• Sök godkännande från eventuella riskägare innan du slutför en behandlingsplan för integritetsskyddsrisk som inkluderar eventuella "återstående" integritetsskydd och PII-risker.

ISO 27701 klausul 6.11.1.2 (Säkerhet i utvecklings- och stödprocesser) och EU GDPR artikel 32 (1)(a)

Programsäkerhetsprocedurer bör utvecklas tillsammans med bredare integritetsskyddspolicyer, vanligtvis via en strukturerad riskbedömning som tar hänsyn till flera variabler.

Programsäkerhetskrav bör inkludera:

• Nivåerna av förtroende som är inneboende inom alla nätverksenheter (se ISO 27002 Kontrollerna 5.17, 8.2 och 8.5).
• Klassificeringen av data som applikationen är konfigurerad att bearbeta (inklusive PII).
• Eventuella segregationskrav.
• Skydd mot interna och externa attacker och/eller skadlig användning.
• Alla rådande juridiska, kontraktuella eller regulatoriska krav.
• Robust skydd av konfidentiell information.
• Data som ska skyddas under transport.
• Eventuella kryptografiska krav.
• Säkra in- och utgångskontroller.
• Minimal användning av obegränsade inmatningsfält – särskilt de som har potential att lagra personuppgifter.
• Hantering av felmeddelanden, inklusive tydlig kommunikation av felkoder.

Transaktionstjänster som underlättar flödet av integritetsdata mellan organisationen och en tredjepartsorganisation, eller partnerorganisation, bör:

1. Upprätta en lämplig nivå av förtroende mellan organisationsidentiteter.
2. Inkludera mekanismer som kontrollerar förtroende mellan etablerade identiteter (t.ex. hashing och digitala signaturer).
3. Beskriv robusta rutiner som styr vad anställda kan hantera viktiga transaktionsdokument.
4. Innehåller dokument- och transaktionshanteringsprocedurer som täcker konfidentialitet, integritet, bevis på avsändning och mottagande av viktiga dokument och transaktioner.
5. Inkludera specifik vägledning om hur man håller transaktioner konfidentiella.

För alla ansökningar som involverar elektronisk beställning och/eller betalning bör organisationer:

• Beskriv strikta krav för skydd av betalnings- och beställningsdata.
• Verifiera betalningsinformationen innan en beställning görs.
• Förvara transaktions- och integritetsrelaterad data säkert på ett sätt som är otillgängligt för allmänheten.
• Använd betrodda myndigheter när du implementerar digitala signaturer, med integritetsskydd i åtanke hela tiden.

Stöder ISO 27002 kontroller

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 klausul 6.12.1.2 (Adressering av säkerhet inom leverantörsavtal) och EU GDPR artikel 32 (1)(b)

När man tar itu med säkerhet inom leverantörsrelationer bör organisationer se till att båda parter är medvetna om sina skyldigheter gentemot integritetsinformationssäkerhet och varandra.

När de gör det bör organisationerna:

• Erbjud en tydlig beskrivning som beskriver sekretessinformationen som behöver nås och hur den informationen kommer att nås.
• Klassificera integritetsinformationen som ska nås i enlighet med ett accepterat klassificeringsschema (se ISO 27002 kontroller 5.10, 5.12 och 5.13).
• Ta tillräcklig hänsyn till leverantörens eget klassificeringssystem.
• Kategorisera rättigheter i fyra huvudområden – juridiska, lagstadgade, regulatoriska och avtalsenliga – med en detaljerad beskrivning av skyldigheter per område.
• Se till att varje part är skyldig att införa en serie kontroller som övervakar, bedömer och hanterar risknivåer för integritetsinformationssäkerhet.
• Beskriv behovet av leverantörspersonal att följa en organisations informationssäkerhetsstandarder (se ISO 27002 Kontroll 5.20).
• Underlätta en tydlig förståelse av vad som utgör både acceptabel och oacceptabel användning av sekretessinformation och fysiska och virtuella tillgångar från endera parten.
• Anta auktoriseringskontroller som krävs för att personal på leverantörssidan ska få tillgång till eller se en organisations sekretessinformation.
• Tänk på vad som händer vid avtalsbrott eller eventuellt underlåtenhet att följa individuella bestämmelser.
• Beskriv en incidenthanteringsprocedur, inklusive hur större händelser kommuniceras.
• Se till att personalen får utbildning i säkerhetsmedvetenhet.
• (Om leverantören har tillåtelse att använda underleverantörer) lägg till krav för att säkerställa att underleverantörer är anpassade till samma uppsättning säkerhetsstandarder för sekretessinformation som leverantören.
• Tänk på hur leverantörspersonal kontrolleras innan de interagerar med sekretessinformation.
• Ange behovet av tredjepartsintyg som adresserar leverantörens förmåga att uppfylla organisatoriska säkerhetskrav för integritetsinformation.
• Har avtalsenlig rätt att granska en leverantörs rutiner.
• Kräv att leverantörer levererar rapporter som beskriver effektiviteten i deras egna processer och procedurer.
• Fokusera på att vidta åtgärder för att påverka en snabb och noggrann lösning av eventuella defekter eller konflikter.
• Se till att leverantörer arbetar med en adekvat BUDR-policy för att skydda integriteten och tillgängligheten för PII och integritetsrelaterade tillgångar.
• Kräv en policy för förändringshantering på leverantörssidan som informerar organisationen om alla förändringar som har potential att påverka integritetsskyddet.
• Implementera fysiska säkerhetskontroller som är proportionella mot känsligheten hos de data som lagras och bearbetas.
• (Där data ska överföras) be leverantörer att se till att data och tillgångar är skyddade från förlust, skada eller korruption.
• Ange en lista över åtgärder som ska vidtas av endera parten i händelse av uppsägning.
• Be leverantören att beskriva hur de avser att förstöra integritetsinformation efter uppsägning, eller att uppgifterna inte längre behövs.
• Vidta åtgärder för att säkerställa minimala affärsavbrott under en överlämningsperiod.

Organisationer bör också upprätthålla en register över avtal, som listar alla avtal som hålls med andra organisationer.

Stöder ISO 27002 kontroller

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 klausul 6.15.2.1 (Oberoende granskning av informationssäkerhet) och EU GDPR artikel 32

I det här avsnittet talar vi om GDPR-artiklarna 32 (1)(b), 32 (1)(d), 32 (2)

Organisationer bör utveckla processer som tillgodoser oberoende granskning av deras sekretessinformationssäkerhetspraxis, inklusive både ämnesspecifika policyer och allmänna policyer.

Granskningar bör utföras av:

• Internrevisorer.
• Oberoende avdelningschefer.
• Specialiserade tredjepartsorganisationer.

Granskningar bör vara oberoende och utföras av individer med tillräcklig kunskap om riktlinjer för integritetsskydd och organisationens egna rutiner.

Granskare bör fastställa huruvida sekretessinformationssäkerhetspraxis är förenlig med organisationens "dokumenterade mål och krav".

Förutom strukturerade periodiska granskningar kan organisationer stöta på behovet av att utföra ad hoc granskningar som utlöses av vissa händelser, inklusive:

• Efter ändringar av interna policyer, lagar, riktlinjer och förordningar som påverkar integritetsskyddet.
• Efter stora incidenter som har påverkat integritetsskyddet.
• Närhelst ett nytt företag skapas eller större förändringar genomförs i den nuvarande verksamheten.
• Efter antagandet av en ny produkt eller tjänst som handlar om integritetsskydd på något sätt.

ISO 27701 klausul 6.15.2.3 (Technical Compliance Review) och EU GDPR artiklarna 32 (1)(d) och (32)(2)

Organisationer måste säkerställa att personalen kan granska integritetspolicyer över hela spektrumet av affärsverksamhet.

Ledningen bör utveckla tekniska metoder för rapportering om integritetsefterlevnad (inklusive automatisering och skräddarsydda verktyg). Rapporter bör registreras, lagras och analyseras för att ytterligare förbättra PII-säkerhet och integritetsskydd.

När efterlevnadsproblem upptäcks bör organisationer:

• Fastställ orsaken.
• Bestäm en metod för korrigerande åtgärder för att täppa till luckor och efterlevnad.
• Gå igenom problemet igen efter en lämplig tidsperiod för att säkerställa att problemet är löst.

Det är mycket viktigt att vidta korrigerande åtgärder så snart som möjligt. Om problemen inte är helt lösta vid tidpunkten för nästa granskning, bör åtminstone bevis tillhandahållas som visar att framsteg görs.

ISO 27701 klausul 6.5.2.1 (Klassificering av information) och EU GDPR artikel (32)(2)

Istället för att jämställa all information bör organisationen klassificera information på en ämnesspecifik basis.

Informationsägare bör överväga fyra nyckelfaktorer, när de klassificerar data (särskilt när det gäller PII), som bör granskas regelbundet, eller när sådana faktorer ändras:

1. Smakämnen konfidentialitet av uppgifterna.
2. Smakämnen integritet av uppgifterna.
3. Data tillgänglighet nivåer.
4. Organisationens rättsliga skyldigheter mot PII.

För att ge ett tydligt operativt ramverk bör informationskategorier namnges i enlighet med den inneboende risknivån om det skulle inträffa incidenter som äventyrar någon av ovanstående faktorer.

För att säkerställa plattformsoberoende kompatibilitet bör organisationer göra sina informationskategorier tillgängliga för extern personal som de delar information med, och se till att organisationens eget klassificeringssystem förstås allmänt av alla relevanta parter.

Organisationer bör vara försiktiga med att antingen underklassificera eller, omvänt, överklassificera data. Det förstnämnda kan leda till misstag vid gruppering av PII med mindre känsliga datatyper, medan det förra ofta leder till extra kostnader, större risk för mänskliga fel och bearbetningsavvikelser.

ISO 27701 klausul 6.5.3.1 (Hantering av flyttbara media) och EU GDPR artikel 32 (1)(a)

När organisationer utvecklar policyer som styr hanteringen av mediatillgångar som är involverade i lagring av PII, bör organisationer:

• Utveckla unika ämnesspecifika policyer baserade på avdelnings- eller jobbbaserade krav.
• Se till att rätt auktorisation söks och beviljas innan personal kan ta bort lagringsmedia från nätverket (inklusive att hålla en korrekt och uppdaterad journal över sådana aktiviteter).
• Förvara media i enlighet med tillverkarens specifikationer, fritt från miljöskador.
• Överväg att använda kryptering som en förutsättning för att få åtkomst, eller där detta inte är möjligt, implementera ytterligare fysiska säkerhetsåtgärder.
• Minimera risken för att PII ska skadas genom att överföra information mellan lagringsmedier efter behov.
• Introducera PII-redundans genom att lagra skyddad information på flera tillgångar samtidigt.
• Tillåt endast användning av lagringsmedia på godkända ingångar (dvs. SD-kort och USB-portar), på en tillgång-för-tillgångsbasis.
• Övervaka noggrant överföringen av PII till lagringsmedia, för alla ändamål.
• Ta hänsyn till de risker som är inneboende med fysisk överföring av lagringsmedia (och genom proxy, PII som finns på det), när du flyttar tillgångar mellan personal eller lokaler (se ISO 27002 Kontroll 5.14).

Vid återanvändning, återanvändning eller kassering av lagringsmedia bör robusta procedurer införas för att säkerställa att PII inte påverkas på något sätt, inklusive:

• Formatera lagringsmediet och se till att all PII tas bort innan återanvändning (se ISO 27002 Kontroll 8.10), inklusive underhåll av adekvat dokumentation av alla sådana aktiviteter.
• Säker kassering av media som organisationen inte har någon vidare användning för och som har använts för att lagra PII.
• Om bortskaffande kräver inblandning av en tredje part, bör organisationen se till att de är en lämplig och lämplig partner för att utföra sådana uppgifter, i linje med organisationens ansvar gentemot PII och integritetsskydd.
• Implementering av procedurer som identifierar vilka lagringsmedier som är tillgängliga för återanvändning eller kan kasseras i enlighet med detta.

Om enheter som har använts för att lagra PII skadas, bör organisationen noggrant överväga om det är lämpligare att förstöra sådana media eller inte, eller skicka det för reparation (fel på sidan av det förstnämnda).

ISO varnar organisationer för att använda okrypterade lagringsenheter för vilken som helst PII-relaterade aktiviteter.

Stöder ISO 27002 kontroller

• ISO 27002 5.14

ISO 27701 klausul 6.5.3.3 (överföring av fysiska medier) och EU GDPR artikel 32 (1)(a)

Se avsnittet ovan om ISO 27701 klausul 6.5.3.1

ytterligare information

Om media ska kasseras den tidigare innehade PII, bör organisationer implementera procedurer som dokumenterar förstörelsen av PII och integritetsrelaterad data, inklusive kategoriska försäkringar om att den inte längre är tillgänglig.

Stöder ISO 27002 kontroller

• ISO 27002 5.14

ISO 27701 klausul 6.7.1.1 (policy för användning av kryptografiska kontroller) och EU GDPR artikel 32 (1)(a)

Organisationer bör använda kryptering för att skydda konfidentialitet, äktheten och integritet av PII och integritetsrelaterad information, och för att följa deras olika kontraktuella, juridiska eller regulatoriska skyldigheter.

Kryptering är ett långtgående koncept – det finns ingen "one size fits all"-metod. Organisationer bör bedöma sina behov och välja en kryptografisk lösning som uppfyller deras unika kommersiella och operativa mål.

Organisationer bör överväga:

• Utveckla en ämnesspecifikt strategi för kryptografi, som tar hänsyn till olika avdelnings-, rollbaserade och operativa krav.
• Lämplig skyddsnivå (tillsammans med den typ av information som ska krypteras).
• Mobila enheter och lagringsmedia.
• Kryptografisk nyckelhantering (lagring, bearbetning etc.).
• Specialiserade roller och ansvar för kryptografiska funktioner, inklusive implementering och nyckelhantering (se ISO 27002 Kontroll 8.24).
• De tekniska krypteringsstandarder som ska antas, inklusive algoritmer, chifferstyrka, riktlinjer för bästa praxis.
• Hur kryptering kommer att fungera tillsammans med andra cybersäkerhetsinsatser, som skydd mot skadlig kod och gatewaysäkerhet.
• Gränsöverskridande och gränsöverskridande lagar och riktlinjer (se ISO 27002 Kontroll 5.31).
• Kontrakt med tredjeparts kryptografipartner som täcker helt eller delvis ansvar, tillförlitlighet och svarstider.

Nyckelhantering

Nyckelhanteringsprocedurer bör vara fördelade på 7 huvudfunktioner:

1. Generation.
2. Lagring.
3. Arkivering.
4. Hämtning.
5. Distribution.
6. Går i pension.
7. Förstörelse.

Organisatoriska nyckelhanteringssystem bör:

• Hantera nyckelgenerering för alla krypteringsmetoder.
• Implementera publika nyckelcertifikat.
• Se till att alla relevanta mänskliga och icke-mänskliga enheter får de erforderliga nycklarna.
• Förvara nycklar.
• Ändra nycklar efter behov.
• Ha rutiner på plats för att hantera potentiellt komprometterade nycklar.
• Ta bort nycklar, eller återkalla åtkomst för varje användare.
• Återställ förlorade eller felaktigt fungerande nycklar, antingen från säkerhetskopior och nyckelarkiv.
• Förstör nycklar som inte längre behövs.
• Hantera aktiverings- och inaktiveringslivscykeln, så att vissa nycklar endast är tillgängliga under den tid som de behövs.
• Behandla officiella förfrågningar om tillgång, från brottsbekämpande myndigheter eller, under vissa omständigheter, tillsynsmyndigheter.
• Innehåller åtkomstkontroller som skyddar fysisk åtkomst till nycklar och krypterad information.
• Tänk på äktheten av offentliga nycklar, före implementering (certifikatmyndigheter och offentliga certifikat).

Stöder ISO 27002 kontroller

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 klausul 6.9.3.1 (informationsbackup) och EU GDPR artikel 32 (1)(c)

Organisationer bör utarbeta ämnesspecifika policyer som direkt tar upp hur organisationen backar upp de relevanta områdena i sitt nätverk för att skydda PII och förbättra motståndskraften mot integritetsrelaterade incidenter.

BUDR-förfaranden bör utarbetas för att uppnå det primära målet att säkerställa detta alla affärskritiska data, mjukvara och system kan återställas följande dataförlust, intrång, avbrott i verksamheten och kritiska misslyckanden.

Som en prioritet bör BUDR-planer:

• Beskriv återställningsprocedurer som täcker alla kritiska system och tjänster.
• Kunna producera fungerande kopior av alla system, data eller applikationer som ingår i ett backupjobb.
• Betjäna organisationens kommersiella och operativa krav (se ISO 27002 Kontroll 5.30).
• Lagra säkerhetskopior på en miljöskyddad plats som är fysiskt skild från källdata (se ISO 27002 Kontroll 8.1).
• Testa och utvärdera regelbundet säkerhetskopieringsjobb mot organisationens mandat återställningstider, för att garantera datatillgänglighet.
• Kryptera alla PII-relaterade säkerhetskopieringsdata.
• Dubbelkolla för eventuell dataförlust innan du utför ett säkerhetskopieringsjobb.
• Följ ett rapporteringssystem som uppmärksammar personalen på status för backupjobb.
• Försök att införliva data från molnbaserade plattformar som inte direkt hanteras av organisationen, i interna backupjobb.
• Lagra säkerhetskopior i enlighet med en lämplig PII-lagringspolicy (se ISO 27002 Kontroll 8.10).

Organisationer måste utveckla separata procedurer som enbart handlar om PII (även om de ingår i deras huvudsakliga BUDR-plan).

Regionala avvikelser i PII BUDR-standarder (kontraktuella, juridiska och regulatoriska) bör beaktas när ett nytt jobb skapas, jobb ändras eller ny PII-data läggs till i BUDR-rutinen.

Närhelst behovet uppstår för att återställa PII efter en BUDR-incident, bör organisationer vara mycket noga med att återställa PII till dess ursprungliga tillstånd och granska återställningsaktiviteter för att lösa eventuella problem med den nya datan.

Organisationer bör föra en logg över återställningsaktiviteter, inklusive all personal som är involverad i återställningen, och en beskrivning av PII som har återställts.

Organisationer bör kontrollera med alla lagstiftande eller tillsynsmyndigheter och se till att deras PII-återställningsprocedurer är i linje med vad som förväntas av dem som PII-behandlare och registeransvarig.

Stöder ISO 27002 kontroller

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 klausul 7.2.1 (Identifiera och dokumentera syfte) och EU GDPR artikel 32 (4)

Organisationer måste först identifiera och då post de specifika skälen för att behandla PII som de använder.

PII-huvudmän måste vara fullt insatta i alla olika anledningar till varför deras PII bearbetas.

Det är organisationens ansvar att förmedla dessa skäl till PII-huvudmän, tillsammans med ett "tydligt uttalande" om varför de behöver behandla sin information.

All dokumentation måste vara tydlig, heltäckande och lätt att förstå av alla PII-huvudmän som läser den – inklusive allt som rör samtycke, såväl som kopior av interna procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 och 7.2.8).

Stöder ISO 27701 kontroller

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 klausul 7.4.5 (PII-avidentifiering och radering vid slutet av bearbetningen) och EU GDPR artikel 32 (1)(a)

Organisationer måste antingen fullständigt förstöra alla PII som inte längre uppfyller ett syfte, eller modifiera dem på ett sätt som förhindrar någon form av principiell identifiering.

Så snart organisationen konstaterar att PII inte behöver behandlas någon gång i framtiden bör informationen raderade or de identifierade, som omständigheterna föreskriver.

ISO 27701 klausul 8.2.2 (Organisatoriska syften) och EU GDPR artikel 32 (4)

Från början bör PII endast behandlas i enlighet med kundens instruktioner.

Kontrakt bör innehålla SLA som hänför sig till ömsesidiga mål, och eventuella tillhörande tidsskalor som de behöver slutföras inom.

Organisationer bör erkänna sin rätt att välja de distinkta metoder som används för att behandla PII, som lagligen uppnår det kunden söker, men utan att behöva få detaljerade tillstånd om hur organisationen går till väga på en teknisk nivå.

Stöder ISO 27701-klausuler och ISO 27002-kontroller

Hur ISMS.online hjälper

ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt. Du VILJA dra nytta av en rad kraftfulla tidsbesparande funktioner.

ISMS.online gör det också enkelt för dig att hoppa direkt in på din resa till GDPR-efterlevnad och att enkelt demonstrera en skyddsnivå som går utöver "rimligt", allt på en säker, alltid-på plats.

Ta reda på mer av boka en kort 30 minuters demo.